О комплексности без комплексов

О комплексности без комплексов

Комппексная защита информации — словосочетание сегодня едва ли не самое злободневное на отечественном рынке информационной безопасности. Вот почему мы решили в этот раз сделать его темой номера. Часто приходится слышать об однобокости защиты компаний от потенциальных угроз. При этом не всегда ясно, ЧТО ИМЕННО вкладывается в понятие «комплексность»? Дабы прояснить ситуацию, мы предложили членам нашего Экспертного совета, представляющим крупнейшие потребительские структуры рынка, ответить в рамках означенной темы на три вопроса. Их мнение и легло в основу ряда статей. Для повышения всесторонности освещения темы мы дополнили сказанное опытом зарубежных специалистов. Надеемся, что совокупность суждений признанных авторитетов позволит нам понять, что такое КЗИ сегодня и каких составляющих не хватает рынку, чтобы ее обеспечить, Вопросы, которые мы задали экспертам, представителям компаний-потребителей СрЗИ:

1. Какой вы видите подлинно комплексную систему защиты информации?
2. Какие из представленных на рынке продуктов и решении (перечислите ряд изготовителей по каждому сегменту) позволяют создать комплексную систему защиты информации?
3. В чем остро нуждаются потребители для организации оптимально работающей комплексной системы защиты информации, но чего (и по каким причинам) нет на российском рынке?

«Воз и ныне там!»

Михаил Левашов, главный специалист
по защите информации ОАО «МГТС», эксперт
журнала «Information Security / Информационная безопасность»

1. В настоящее время среди .специалистов по информационной безопасности (ИБ) формируется понимание комплексной системы И Б как состояния информационной защищенности предприятия. Таковое складывается путем реализации вопросов ИБ:

• в корпоративной культуре и этике сотрудников;
• в работе кадровой службы и службы безопасности по кандидатам на работу;
• в работе службы ИБ с персоналом по вопросам инструктажа, консультирования и обучения персонала;
• в усилиях хозяйственной службы и службы безопасности по физической защите территории предприятия и помещений, в которых циркулирует критичная информация;
• в деятельности по созданию и поддержанию работоспособности информационных систем (питание, климат-контроль; пожаротушение; охранно-пожарная сигнализация; система ограничения и контроля доступа);
• в основных регламентирующих эти вопросы документах, созданных службой ИБ (концепции ИБ предприятия и политик ее реализации во всех направлениях деятельности предприятия, где присутствует информационное взаимодействие);
• в технических методах (схемах, планах), внедренных IT-службой при создании, модификации корпоративной информационной системы, обслуживающей бизнес-процессы и бизнес-задачи предприятия;
• в созданных юридической службой и службой И Б документах и процедурах, позволяющих в рамках федерального законодательства:
  • проводить необходимые действия с персоналом и кандидатами на работу;
  • заключать предусматривающие информационное взаимодействие договоры с внешними организациями;
  • предоставлять защищенную в соответствии с федеральным законодательством информацию внешним структурам и лицам;
  • осуществлять на предприятии деятельность по защите информации.

На предприятии должны быть разработаны и реализованы правила использования информационных ресурсов, в том числе для локальных, территориально распределенных (на больших предприятиях, расположенных в разных зданиях, городах) вычислительных сетей. Эти правила включают в себя инструкции по эксплуатации рабочих мест, по использованию аутентификационных данных, удаленного доступа и т.д. Важно иметь четкую и безопасную систему модернизации информационных ресурсов. Действия пользователей (своих и чужих) в информационной системе обязаны контролироваться.

Необходимо реализовать систему ответственности персонала за нарушения правил ИБ. Ни одно нарушение не должно оставаться безнаказанным.

На предприятии следует периодически проводить как внутренний, так и внешний аудит безопасного использования информационных ресурсов.

В качестве основы всех политик ИБ предлагаю принять международные, национальные и корпоративные стандарты IT-безопасности.

Система ИБ должна непрерывно развиваться и совершенствоваться. После достижения базового уровня ИБ необходимо переходить к противодействию глубинным информационным угрозам, присущим информационным системам конкретного предприятия (отрасли).

2. К сожалению, ответ — отрицательный. То есть я не знаю ни одной фирмы, которая была бы в состоянии построить комплексную систему ИБ. Более того, не назову и нескольких фирм, которые путем кооперации могли бы создать подобную систему! Отмечу лишь то обстоятельство, что многие заявляют о такой услуге. Однако при более внимательном рассмотрении эти утверждения оказываются несостоятельными! Вместе с тем существует достаточное (для потенциальных потребителей) количество фирм, которые способны реализовать важнейшие этапы защиты информации. Это, например, «Инфо-системы Джет», предоставляющие услуги по оценке информационных рисков и построению различных информационных схем с элементами защиты. Продукты этой фирмы с маркой «Дозор» могут проводить содержательный анализ Интернет-контента и электронной почты, устанавливая ограничения по различным параметрам этих объектов. Фирма «АМТ-групп», специализировавшаяся на внедрении сетевых технологий, относительно недавно и достаточно успешно начала заниматься также их защитой. Отечественная компания «Крипто Про» является признанным авторитетом в деле проектирования и создания инфраструктур открытых ключей. Известные мировые лидеры в сфере информационных технологий (Cisco Systems, CA и другие) занимают ведущие позиции в области систем межсетевого экранирования, а также детектирования и предотвращения сетевых атак.

3. Первое, что не удается сделать внешним (по отношению к предприятию) фирмам, — это обеспечить выявление не «базовых», а глубинных рисков, которые могут открыться исследователю лишь при серьезном знании и длительном тестировании конкретных информационных систем предприятия.

Второй сложный для «рынка» вопрос — формирование и внедрение на предприятии «безопасной» корпоративной культуры и этики, включая тематику социальной инженерии.

Третье, чего не достает «рынку», — разработки некоторых из перечисленных выше юридических вопросов, связанных с ИБ.

Четвертая проблема — стыковка технических методов защиты информации с организационно-административными, юридическими, культурно-этическими. В качестве примера стоит назвать комплексное решение по реализации процедуры аутентификации пользователя в информационной системе с помощью таких весьма полезных устройств, как токены. В частности, не совсем понятно, где должны сотрудники (особенно женщины) хранить эти устройства при оставлении рабочего места?!

Данный перечень сложных (либо неудобных) для «рынка» вопросов нетрудно продолжить, однако в уже названных темах видны зачатки принципиального конфликта между «рынком» и потребителями комплексных услуг. Значительная часть этих противоречий лежит в области «стыковки» сложных содержательных программно-аппаратных средств защиты информации, которые выгодно и удобно продавать, с организационно-техническими, административными, юридическими, культурно-этическими вопросами. А ведь без последних немыслима комплексная система ИБ, даже если они неудобны и невыгодны для продаж. Причем «продавцы» должны быть хорошо осведомлены о существующих проблемах (которые в последнее время активно обсуждаются на различных форумах), однако «воз и ныне там!».

Конфиденциальность, целостность, доступность

Комплексный подход к обеспечению информационной безопасности

Светлана Белялова, менеджер по информационной
безопасности ЗАО «Райффайзенбанк-Австрия», эксперт
журнала «Information Security/Информационная безопасность»

В основе комплексного подхода к информационной безопасности лежит программа, определяющая стратегический подход к построению архитектуры информационной безопасности в целом для компании. Эта программа подкрепляется адекватными техническими и организационными мерами. Поддержка руководства необходима для обеспечения жизнеспособности проекта, утверждения его статуса и значимости.

Нужна система

Программу безопасности компании составляют следующие компоненты:

• создание набора регламентирующих документов — политик и процедур, регулирующих правила работы с информационными ресурсами компании;
• классификация данных компании. В отсутствие классификации невозможно определить критичность для компании тех или иных информационных ресурсов и обеспечить соответствующий уровень защиты, построенной на принципах конфиденциальности, целостности и доступности;
• оценка рисков, проводимая на постоянной основе, внедрение защитных мер по результатам;
• обучение персонала установленным правилам информационной безопасности и ознакомление с предусмотренными мерами ответственности за их нарушение;
• обеспечение непрерывности бизнеса, готовность к кризисным ситуациям.

Содействие реализации программы информационной безопасности и контроль за ее выполнением в масштабах компании осуществляет независимое подразделение, находящееся в прямом подчинении у руководства компании.

Обеспечение безопасности техническими средствами достигается внедрением целого класса продуктов, доступных сейчас на соответствующем сегменте рынка. В то время как мониторинг и управление сетевыми устройствами реализуется такими продуктами, как CiscoWorks и HP OpenView, для осуществления задач безопасности на клиентских рабочих станциях могут быть использованы комплексные решения на базе MS Windows MOM и SMS. Централизованное управление доступом пользователей успешно выполняется с помощью Cisco Secure Access Control Server.

Отдельный класс продуктов служит для обнаружения атак, еще один — для фильтрации почтовых сообщений, с помощью третьего исследуется Интернет-трафик. Нельзя не упомянуть антивирусные средства и антиспам-решения, накопители и анализаторы оперативных лог-файлов разных устройств, криптографию, смарт-карты и многие другие средства, призванные гарантировать IT-безопасность.

Чтобы управлять событиями

Ясно прослеживается необходимость в общей системе управления угрозами безопасности. Посредством обработки сообщений от различных источников информации, находящихся на большинстве устройств компании, она способна собирать данные и анализировать события в режиме реального времени, сигнализировать о возможных инцидентах и отображать путь распространения атаки. Наличие универсального агента, умеющего интерпретировать сообщения различных производителей и приложений (Cisco, CheckPoint, Nokia, HP, Oracle, Squid, Apache, McAfee и других) либо настраиваемого на сбор информации, существенно облегчило бы жизнь администраторам безопасности компаний.

В этом классе заслуживают особого внимания продукты Cisco, такие как Cisco monitoring, analysis and response system (MARS) и CiscoWorks Security Information Management Solution (SIMS). Известна общая подобласть действия этих продуктов.

MARS представляет собой программно-аппаратный комплекс, в большей степени ориентированный на сети, построенные на базе устройств Cisco. Однако в качестве источников сбора информации он поддерживает также устройства других производителей, межсетевые экраны, антивирусные средства. Отличительной особенностью является возможность автоматической блокировки атаки.

Область действия SIMS шире. Это централизованная и масштабируемая система управления событиями безопасности, основанная на сборе информации со значительного количества устройств и базирующаяся на внутренних механизмах анализа и корреляции событий безопасности. Наличие универсального агента позволяет свести воедино информацию с большинства доступных на настоящий момент устройств безопасности и средств защиты информации. К недостаткам SIMS относятся высокая стоимость и ориентация на крупные распределенные сети, где актуально удаленное управление событиями безопасности. Установка и настройка подобного продукта без привлечения специалистов крайне затруднительна.

Безусловно, на рынке присутствуют и другие продукты подобного класса.

Не являясь самоцелью

Владислав Мяснянкин, начальник отдела
защиты информации ОАО «Банк СЕВЕРНАЯ КАЗНА»,
эксперт журнала «Information Security / Информационная безопасность»

Нам разрешается слыть невеждами, мистиками,
суеверными дураками. Нам одно не разрешается: недооценить
опасность. И если в нашем доме вдруг завоняло серой, мы просто обязаны
предположить, что где-то рядом объявился черт с рогами, и принять соответствующие
меры вплоть до организации производства святой воды в промышленных масштабах.
А. и Б. Стругацкие, «Волны гасят ветер»

1. Во-первых, система защиты информации должна быть действительно «комплексной», то есть равнопрочно обеспечивающей защиту по всем направлениям. Не секрет, что довольно часто при построении систем наблюдается перекос в сторону безопасности периметра — ставится межсетевой экран и средства криптографической защиты каналов, в то время как вопросам возможных злоупотреблений со стороны законных пользователей системы уделяется недостаточно внимания. Во-вторых, поскольку защита информации не является самоцелью - это только средство поддержания непрерывности бизнеса — системе надлежит быть экономически адекватной. Сказанное означает, что:

• стоимость системы и затраты на ее эксплуатацию (Total Cost of Ownership, TCO) не должны превышать стоимость защищаемой информации;
• затраты злоумышленника на преодоление системы защиты, наоборот, должны быть больше потенциальной выгоды от получения несанкционированного доступа;
• при выборе вариантов построения системы следует учитывать сроки окупаемости (Return of Investment, ROI).

2. В каждом конкретном слу-чае набор элементов для построения системы защиты будет неодинаковым. На мой взгляд, он включает:

• межсетевой экран;
• средства организации виртуальных частных сетей (Virtual Private Networks, VPN);
• средства обнаружения вторжений (Intrusion Detection System, IDS), возможно, дополненные honeynet;
• средства мониторинга (действия пользователей, контрольсоответствия настроек политике безопасности);
• антивирусные средства;
• средства аутентификации (токены, смарт-карты, OTP) и средства защиты от НСД;
• средства ЭЦП и шифрования (увязанные в систему — Public Keys Infrastructure, PKI);
• системы резервного копирования и восстановления;
• системы обеспечения живучести (резервирование каналов связи, кластеризация, резервное и автономное энергоснабжение, системы пожаротушения).

Все вышеперечисленное нуждается в дополнении адекватным набором организационных мер.

3. Очевидна потребность в высокопроизводительных и удобных в эксплуатации VPN. Актуальны HSM (Host Security Module) и смарт-карты, аппаратно поддерживающие российские криптоалгоритмы.

Новое качество вряд ли возможно

Игорь Химченко, начальник отдела
информационной безопасности ОАО «ГМК «Норильский никель»,
эксперт журнала «Information Security /Информационная безопасность»

1. Понятие «комплексная система защиты информации» можно рассматривать с точки зрения системного анализа. Мне представляется, что как таковой, комплексной (одной) системы защиты информации не существует. И любые попытки сложить стену (систему) из разных кирпичиков (средств) — да еще, чтобы стена была не просто выложенными в ряд кирпичами (суммой их общего количества), а обладала другим, общим свойством, не равным простой сумме составляющих, — обречены на неудачу.

2. Как правило, все продукты и решения отражают взгляд их создателей на роль и место этих самых продуктов на рынке.

Кроме этого, организации, выстраивающие у себя систему защиты информации с целью повышения эффективности организации бизнес-процессов, имеют различные масштабы, структуру и стиль управления. С учетом всего вышесказанного построение наилучшей (по критерию эффективность / стоимость) системы защиты информации для множества организаций вряд ли возможно.

Тем не менее есть признанные лидеры, которые не только производят отдельные устройства, но и предлагают комплексные, системные решения.

3. Потребители должны, прежде всего, определиться: каким для каждого из них является оптимальный подход к построению системы защиты информации?

Что защищать и зачем защищать? А затем уже — как защищать?

Покупатели не всегда знают, что лучше выбрать (то есть как потратить меньше денег для достижения аналогичного результата). На мой взгляд, на российском рынке не хватает квалифицированных консультантов, которые играли бы роль буфера между потребителями и удовлетворяющими их потребности производителями.